Firepower eXtensible Operating System (FXOS) 2.2 : authentification/autorisation du châssis pour la gestion à distance avec ISE à l'aide de RADIUS

Options de téléchargement

  • PDF     (2.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.5 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:21 février 2018
ID du document:212689

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer l'authentification et l'autorisation RADIUS pour le châssis Firepower eXtensible Operating System (FXOS) via Identity Services Engine (ISE).

    Le châssis FXOS comprend les rôles d'utilisateur suivants :

    • Administrateur - Accès complet en lecture et en écriture à l'ensemble du système. Ce rôle est attribué par défaut au compte d'administrateur par défaut et ne peut pas être modifié.
    • Lecture seule : accès en lecture seule à la configuration du système sans privilèges permettant de modifier l'état du système.
    • Opérations : accès en lecture et écriture à la configuration NTP, à la configuration Smart Call Home pour Smart Licensing et aux journaux système, y compris les serveurs et les pannes syslog. Accès en lecture au reste du système.
    • AAA : accès en lecture-écriture aux utilisateurs, aux rôles et à la configuration AAA. Accès en lecture au reste du système.

    Via l'interface de ligne de commande, cela peut être vu comme suit :

    fpr4120-TAC-A /security* # show role

    Rôle :        

        Nom du rôle Priv

        ---------- ----

        aaa aaa

        admin admin

        opérations d'exploitation

        lecture seule lecture seule

    Contribution de Tony Remirez, Jose Soto, Ingénieurs du centre d'assistance technique Cisco.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissance du système d'exploitation extensible Firepower (FXOS)
    • Connaissance de la configuration ISE

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Appliance de sécurité Cisco Firepower 4120 version 2.2
    • Cisco Identity Services Engine virtuel 2.2.0.470

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command. 

    Configurer

    L'objectif de la configuration est de :

    • Authentifier les utilisateurs qui se connectent à l'interface utilisateur graphique Web et à SSH de FXOS par le biais d'ISE
    • Autorisez les utilisateurs à se connecter à l'interface utilisateur graphique Web et à SSH de FXOS en fonction de leur rôle d'utilisateur respectif via ISE.
    • Vérifier le bon fonctionnement de l'authentification et de l'autorisation sur le FXOS au moyen d'ISE

    Diagramme du réseau

    212689-firepower-extensible-operating-system-f-00.png

    Configurations

    Configuration du châssis FXOS

    Création d'un fournisseur RADIUS à l'aide du Gestionnaire de châssis

    Étape 1. Accédez à Platform Settings > AAA.

    Étape 2. Cliquez sur l'onglet RADIUS.

    212689-firepower-extensible-operating-system-f-01.png

    Étape 3. Pour chaque fournisseur RADIUS que vous souhaitez ajouter (jusqu'à 16 fournisseurs).

                3.1. Dans la zone Fournisseurs RADIUS, cliquez sur Ajouter.

                3.2. Une fois la boîte de dialogue Ajouter un fournisseur RADIUS ouverte, entrez les valeurs requises.

                3.3. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un fournisseur RADIUS.

    212689-firepower-extensible-operating-system-f-02.png

    Étape 4. Cliquez sur Save.

    212689-firepower-extensible-operating-system-f-03.png

    Étape 5. Accédez à Système > Gestion des utilisateurs > Paramètres.

    Étape 6. Sous Default Authentication, sélectionnez RADIUS.

    212689-firepower-extensible-operating-system-f-04.png

    Création d'un fournisseur RADIUS via CLI

    Étape 1. Afin d'activer l'authentification RADIUS, exécutez les commandes suivantes.

    fpr4120-TAC-A# sécurité étendue

    fpr4120-TAC-A /security # scope default-auth

    fpr4120-TAC-A /security/default-auth # set realm radius

    Étape 2. Utilisez la commande show detail pour afficher les résultats.

    fpr4120-TAC-A /security/default-auth # show detail

    Authentification par défaut :

        Domaine d'administration : Radius

        Domaine opérationnel : Rayon

        Période d'actualisation de la session Web (en secondes) : 600

        Temporisation de session (en secondes) pour les sessions Web, SSH, Telnet : 600

        Délai d'expiration absolu de la session (en secondes) pour les sessions Web, SSH, Telnet : 3600

        Délai d'expiration de la session de la console série (en secondes) : 600

        Délai de session absolue de la console série (en secondes) : 3600

        Groupe de serveurs d'authentification Admin :

        Groupe de serveurs d'authentification opérationnelle :

        Utilisation du 2e facteur : Non

    Étape 3. Afin de configurer les paramètres du serveur RADIUS, exécutez les commandes suivantes.

    fpr4120-TAC-A# sécurité étendue

    fpr4120-TAC-A /security # portée radius

    fpr4120-TAC-A /security/radius # entrez server 10.88.244.50

    fpr4120-TAC-A /security/radius/server # set descr "ISE Server"

    fpr4120-TAC-A /security/radius/server* # set key

    Saisissez la clé : ******

    Confirmez la clé : ******

    Étape 4. Utilisez la commande show detail pour afficher les résultats.

    fpr4120-TAC-A /security/radius/server* # show detail

    Serveur RADIUS :

        Nom d'hôte, nom de domaine complet ou adresse IP : 10.88.244.50

        Description :

        Commande : 1

        Port d'authentification : 1812

        Clé : ****

        Délai d'attente : 5

    Configuration du serveur ISE

    Ajout de FXOS en tant que ressource réseau

    Étape 1. Accédez à Administration > Network Resources > Network Devices.

    Étape 2. Cliquez sur Add

    212689-firepower-extensible-operating-system-f-05.png

    Étape 3. Entrez les valeurs requises (Nom, Adresse IP, Type de périphérique et Activer RADIUS et ajoutez la CLÉ), cliquez sur Envoyer.

    212689-firepower-extensible-operating-system-f-06.png

    Création des groupes et utilisateurs d'identités

    Étape 1. Accédez à Administration > Identity Management > Groups > User Identity Groups.

    Étape 2. Cliquez sur Add.

    212689-firepower-extensible-operating-system-f-07.png

    Étape 3. Saisissez la valeur de Nom et cliquez sur Envoyer.

    212689-firepower-extensible-operating-system-f-08.png

    Étape 4. Répétez l'étape 3 pour tous les rôles utilisateur requis.

    212689-firepower-extensible-operating-system-f-09.png

    Étape 5. Accédez à Administration > Identity Management > Identity > Users.

    Étape 6. Cliquez sur Add.

    212689-firepower-extensible-operating-system-f-10.png

    Étape 7. Saisissez les valeurs requises (Nom, Groupe d'utilisateurs, Mot de passe).

    212689-firepower-extensible-operating-system-f-11.png

    Étape 8. Répétez l'étape 6 pour tous les utilisateurs requis.

    212689-firepower-extensible-operating-system-f-12.png

    Création du profil d'autorisation pour chaque rôle utilisateur

    Étape 1. Allez à Policy > Policy Elements > Results > Authorization > Authorization Profiles (politique > éléments de politique > résultats > autorisation > profils d’autorisation).

    212689-firepower-extensible-operating-system-f-13.png

    Étape 2. Renseignez tous les attributs du profil d'autorisation.

            2.1. Configurer le nom du profil

    212689-firepower-extensible-operating-system-f-14.png

            2.2. Dans Advanced Attributes Settings, configurez la paire CISCO-AV suivante

    cisco-av-pair=shell:roles="admin"

    212689-firepower-extensible-operating-system-f-15.png

            2.3. Cliquez sur Enregistrer.

    212689-firepower-extensible-operating-system-f-16.png

    Étape 3. Répétez l'étape 2 pour les rôles utilisateur restants à l'aide des paires Cisco-AV suivantes

    cisco-av-pair=shell:roles="aaa"

    cisco-av-pair=shell:roles="operations"

    cisco-av-pair=shell : roles="lecture seule"

    212689-firepower-extensible-operating-system-f-17.png

    212689-firepower-extensible-operating-system-f-18.png212689-firepower-extensible-operating-system-f-19.png212689-firepower-extensible-operating-system-f-20.png

    Création de la stratégie d'authentification

    Étape 1. Accédez à Policy > Authentication > Et cliquez sur la flèche en regard de edit where you want to create the rule.

    212689-firepower-extensible-operating-system-f-21.png

    Étape 2. La configuration est simple ; il peut être fait plus granulaire, mais pour cet exemple, nous allons utiliser le type de périphérique :

    Nom : RÈGLE D'AUTHENTIFICATION FXOS

    IF Sélectionner un nouvel attribut/une nouvelle valeur : Périphérique : Le type de périphérique est égal à Tous les types de périphériques #FXOS

    Autoriser les protocoles : accès réseau par défaut

    Utiliser : Utilisateurs internes

    212689-firepower-extensible-operating-system-f-22.png

    Création de la stratégie d'autorisation

    Étape 1. Accédez à Policy > Authorization > Et cliquez sur la flèche en regard de modifier l'emplacement où vous souhaitez créer la règle.

    212689-firepower-extensible-operating-system-f-23.png

    Étape 2. Entrez les valeurs de la règle d'autorisation avec les paramètres requis.

            2.1. Nom de la règle : règle Fxos <USER ROLE>.

    212689-firepower-extensible-operating-system-f-24.png

            2.2. Si : User Identity Groups > Sélectionnez <USER ROLE>.

    212689-firepower-extensible-operating-system-f-25.png

            2.3. AND : Create New Condition > Device:Device type Equals All Devices Types #FXOS.

    212689-firepower-extensible-operating-system-f-26.png

            2.4. Autorisations : Standard > Choisir le profil de rôle utilisateur

    212689-firepower-extensible-operating-system-f-27.png

    212689-firepower-extensible-operating-system-f-28.png

    Étape 3. Répétez l'étape 2 pour tous les rôles utilisateur.

    212689-firepower-extensible-operating-system-f-29.png

    Étape 4. Cliquez sur Enregistrer en bas de la page.

    212689-firepower-extensible-operating-system-f-30.png

    Vérifier

    Vous pouvez maintenant tester chaque utilisateur et vérifier le rôle d'utilisateur attribué.

    Vérification du châssis FXOS

    1. Établissez une connexion Telnet ou SSH au châssis FXOS et connectez-vous à l'aide de l'un des utilisateurs créés sur l'ISE.

    Nom d'utilisateur : fxosadmin

    Mot de passe :

    fpr4120-TAC-A# sécurité étendue

    fpr4120-TAC-A /security # show remote-user detail

    Utilisateur distant fxosaaa :

        Description:

        Rôles utilisateur :

            Nom : aaa

            Nom : lecture seule

    Utilisateur distant fxosadmin :

        Description:

        Rôles utilisateur :

            Nom : admin

            Nom : lecture seule

    Utilisateur distant fxosoper :

        Description:

        Rôles utilisateur :

            Nom : opérations

            Nom : lecture seule

    Utilisateur distant fxosro :

        Description:

        Rôles utilisateur :

            Nom : lecture seule

    En fonction du nom d'utilisateur saisi, l'interface de ligne de commande du châssis FXOS affiche uniquement les commandes autorisées pour le rôle d'utilisateur attribué.

    Rôle utilisateur Admin.

    fpr4120-TAC-A /security # ?

      accuser réception

      clear-user-sessions Clear User Sessions

      créer Créer des objets gérés

      delete Supprimer les objets gérés

      disable Désactive les services

      enable Active les services

      enter Permet de saisir un objet géré

      scope Modifie le mode actuel

      set Définir les valeurs des propriétés

      show show show system information

      terminer les sessions cimc actives

    fpr4120-TAC-A# connect fxos

    fpr4120-TAC-A (fxos)# debug aaa aaa-requests

    fpr4120-TAC-A (fxos)#

    Rôle utilisateur en lecture seule.

    fpr4120-TAC-A /security # ?

      scope Modifie le mode actuel

      set Définir les valeurs des propriétés

      show show show system information

    fpr4120-TAC-A# connect fxos

    fpr4120-TAC-A (fxos)# debug aaa aaa-requests

    % Autorisation refusée pour le rôle

    1. Accédez à l'adresse IP du châssis FXOS et connectez-vous à l'aide de l'un des utilisateurs créés sur l'ISE.

    Rôle utilisateur Admin.

    212689-firepower-extensible-operating-system-f-31.png

    Rôle utilisateur en lecture seule.

    212689-firepower-extensible-operating-system-f-32.png

    Remarque : notez que le bouton AJOUTER est grisé. 

    Vérification ISE 2.0

    1. Accédez à Operations > RADIUS > Live logs. Vous devriez pouvoir voir les tentatives réussies et les tentatives infructueuses.

    212689-firepower-extensible-operating-system-f-33.png

    Dépannage

    Afin de déboguer l'authentification et l'autorisation AAA, exécutez les commandes suivantes dans l'interface de ligne de commande FXOS.

    fpr4120-TAC-A# connect fxos

    fpr4120-TAC-A (fxos)# debug aaa aaa-requests

    fpr4120-TAC-A (fxos)# debug aaa event

    fpr4120-TAC-A (fxos)# debug aaa errors

    fpr4120-TAC-A (fxos)# terme mon

    Après une tentative d'authentification réussie, le résultat suivant s'affiche.

    20 janvier 2018 17:18:02.410275 aaa: aaa_req_process pour l'authentification. session no 0

    20 janvier 2018 17:18:02.410297 aaa: aaa_req_process: General AAA request from appln: login appln_subtype: default

    20 janvier 2018 17:18:02.410310 aaa: try_next_aaa_method

    20 janvier 2018 17:18:02.410330 aaa : le nombre total de méthodes configurées est 1, l'index actuel à essayer est 0

    20 janvier 2018 17:18:02.410344 aaa: handle_req_using_method

    20 janvier 2018 17:18:02.410356 aaa: AAA_METHOD_SERVER_GROUP

    20 janvier 2018 17:18:02.410367 aaa : groupe aaa_sg_method_handler = radius

    20 janv 20 17:18:02.410379 aaa : Utilisation de sg_protocol qui est passé à cette fonction

    20 janvier 2018 17:18:02.410393 aaa : Envoi d'une demande au service RADIUS

    20 janvier 2018 17:18:02.412944 aaa: mts_send_msg_to_port_daemon: Durée de la charge utile = 374

    20 janvier 2018 17:18:02.412973 aaa: session: 0x8dfd68c ajoutée à la table de session 1

    20 janvier 2018 17:18:02.412987 aaa : groupe de méthodes configuré réussi

    20 janvier 2018 17:18:02.656425 aaa: aaa_process_fd_set

    20 janvier 2018 17:18:02.656447 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:18:02.656470 aaa: mts_message_response_handler: an mts response

    20 janvier 2018 17:18:02.656483 aaa: prot_daemon_response_handler

    20 janvier 2018 17:18:02.656497 aaa: session: 0x8dfd68c supprimé de la table de session 0

    20 janvier 2018 17:18:02.656512 aaa: is_aaa_resp_status_success status = 1

    20 janvier 2018 17:18:02.656525 aaa: is_aaa_resp_status_success is TRUE

    20 janvier 2018 17:18:02.656538 aaa: aaa_send_client_response for authentication. session->flags=21. aaa_resp->flags=0.

    20 janvier 2018 17:18:02.656550 aaa: AAA_REQ_FLAG_NORMAL 

    20 janvier 2018 17:18:02.656577 aaa: mts_send_response Successful

    20 janvier 2018 17:18:02.700520 aaa : aaa_process_fd_set : mtscallback sur aaa_accounting_q

    20 janvier 2018 17:18:02.700688 aaa : OLD OPCODE : accounting_Interim_update

    20 janvier 2018 17:18:02.700702 aaa: aaa_create_local_acct_req: user=, session_id=, log=ajout de l'utilisateur fxosro 

    20 janvier 2018 17:18:02.700725 aaa : aaa_req_process pour la comptabilité. numéro de session 0

    20 janvier 2018 17:18:02.700738 aaa : la référence de la demande MTS est NULL. Requête LOCALE

    20 janvier 2018 17:18:02.700749 aaa : Définition de AAA_REQ_RESPONSE_NOT_NEEDED

    20 janvier 2018 17:18:02.700762 aaa : aaa_req_process : Requête AAA générale à partir d'appln : default appln_subtype : default

    20 janvier 2018 17:18:02.700774 aaa: try_next_aaa_method

    20 janvier 2018 17:18:02.700798 aaa: aucune méthode configurée par défaut

    20 janv 20 17:18:02.700810 aaa : aucune configuration disponible pour cette demande

    20 janvier 2018 17:18:02.700997 aaa: aaa_send_client_response for accounting. session->flags=254. aaa_resp->flags=0.

    20 janvier 2018 17:18:02.701010 aaa : la réponse pour la demande de comptabilité de l'ancienne bibliothèque sera envoyée comme SUCCESS

    20 janvier 2018 17:18:02.701021 aaa : réponse non nécessaire pour cette demande

    20 janvier 2018 17:18:02.701033 aaa: AAA_REQ_FLAG_LOCAL_RESP 

    20 janvier 2018 17:18:02.701044 aaa: aaa_cleanup_session

    20 janvier 2018 17:18:02.701055 aaa : aaa_req devrait être libéré. 

    20 janvier 2018 17:18:02.701067 aaa : La méthode de repli locale a réussi

    20 janvier 2018 17:18:02.706922 aaa: aaa_process_fd_set

    20 janvier 2018 17:18:02.706937 aaa : aaa_process_fd_set : mtscallback sur aaa_accounting_q

    20 janvier 2018 17:18:02.706959 aaa : OLD OPCODE : accounting_Interim_update

    20 janvier 2018 17:18:02.706972 aaa: aaa_create_local_acct_req: user=, session_id=, log=ajout d'un utilisateur:fxosro au rôle:lecture seule 

    Après l'échec d'une tentative d'authentification, le résultat suivant s'affiche.

    20 janvier 2018 17:15:18.102130 aaa: aaa_process_fd_set

    20 janvier 2018 17:15:18.102149 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:15:18.102267 aaa: aaa_process_fd_set

    20 janvier 2018 17:15:18.102281 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:15:18.102363 aaa: aaa_process_fd_set

    20 janvier 2018 17:15:18.102377 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:15:18.102456 aaa: aaa_process_fd_set

    20 janvier 2018 17:15:18.102468 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:15:18.102489 aaa: mts_aaa_req_process

    20 janvier 2018 17:15:18.102503 aaa: aaa_req_process pour l'authentification. numéro de session 0

    20 janvier 2018 17:15:18.102526 aaa: aaa_req_process: General AAA request from appln: login appln_subtype: default

    20 janvier 2018 17:15:18.102540 aaa: try_next_aaa_method

    20 janvier 2018 17:15:18.102562 aaa : le nombre total de méthodes configurées est 1, l'index actuel à essayer est 0

    20 janvier 2018 17:15:18.102575 aaa: handle_req_using_method

    20 janvier 2018 17:15:18.102586 aaa: AAA_METHOD_SERVER_GROUP

    20 janvier 2018 17:15:18.102598 aaa : groupe aaa_sg_method_handler = radius

    20 Jan 20 17:15:18.102610 aaa : Utilisation du protocole sg_protocol transmis à cette fonction

    20 janvier 2018 17:15:18.102625 aaa : Envoi d'une demande au service RADIUS

    20 janvier 2018 17:15:18.102658 aaa: mts_send_msg_to_port_daemon: Durée de la charge utile = 371

    20 janvier 2018 17:15:18.102684 aaa: session: 0x8dfd68c ajoutée à la table de session 1

    20 janvier 2018 17:15:18.102698 aaa : groupe de méthodes configuré réussi

    20 janvier 2018 17:15:18.273682 aaa: aaa_process_fd_set

    20 janvier 2018 17:15:18.273724 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:15:18.273753 aaa: mts_message_response_handler: une réponse mts

    20 janvier 2018 17:15:18.273768 aaa: prot_daemon_response_handler

    20 janvier 2018 17:15:18.273783 aaa: session: 0x8dfd68c supprimé de la table de session 0

    20 janvier 2018 17:15:18.273801 aaa: is_aaa_resp_status_success status = 2

    20 janvier 2018 17:15:18.273815 aaa: is_aaa_resp_status_success is TRUE

    20 janvier 2018 17:15:18.273829 aaa: aaa_send_client_response for authentication. session->flags=21. aaa_resp->flags=0.

    20 janvier 2018 17:15:18.273843 aaa: AAA_REQ_FLAG_NORMAL 

    20 janvier 2018 17:15:18.273877 aaa: mts_send_response Successful

    20 janvier 2018 17:15:18.273902 aaa: aaa_cleanup_session

    20 janvier 2018 17:15:18.273916 aaa: mts_drop of request msg

    20 janvier 2018 17:15:18.273935 aaa: aaa_req devrait être libéré. 

    20 janvier 2018 17:15:18.280416 aaa: aaa_process_fd_set

    20 janvier 2018 17:15:18.280443 aaa: aaa_process_fd_set: mtscallback sur aaa_q

    20 janvier 2018 17:15:18.280454 aaa: aaa_enable_info_config: GET_REQ for aaa login error message

    20 janvier 2018 17:15:18.280460 aaa: a récupéré la valeur de retour de l'opération de configuration:élément de sécurité inconnu

    Informations connexes

    La commande Ethanalyzer sur l'interface de ligne de commande FX-OS demande un mot de passe lorsque l'authentification TACACS/RADIUS est activée. Ce comportement est causé par un bogue.

    ID de bogue : CSCvg87518

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    22-Jan-2018
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Tony Remirez Harfuch
      TAC
    • Jose Soto Nolasco
      TAC
    • Ezequiel Tlecuitl
      TAC

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits